【正文】 （ 4） 證書處理模塊 證書處理模塊以動(dòng)態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)實(shí)現(xiàn)的CA系統(tǒng)應(yīng)用安全解決 方案 第 28頁 共 29頁 功能包括對(duì)證書的驗(yàn)證，對(duì)本地證書的檢索，顯示成列表，供用戶選擇提交。 C/S 架構(gòu) 系統(tǒng) 安全 應(yīng)用 C/S 的架構(gòu) 系統(tǒng) 不能直接集成證書應(yīng)用。此時(shí)，需要對(duì)用戶在線提交的辦公的敏感數(shù)據(jù)，如財(cái)務(wù)數(shù)據(jù)、 征收信息 等，進(jìn)行數(shù)字簽名，防止用戶對(duì)提交的數(shù)據(jù)進(jìn)行抵賴。服務(wù)器證書由 CA 認(rèn)證中心頒發(fā)，在服務(wù)器證書內(nèi)表示了服務(wù)器的域名等證明服務(wù)器身份的信息、 Web 服務(wù)器端的公鑰以及 CA 對(duì)證書相關(guān)域內(nèi)容的數(shù)字簽名。 系統(tǒng)布署完成后，客戶機(jī)器登錄界面上多一個(gè)智能卡登錄圖標(biāo)。 安全域登錄 應(yīng)用 為 用戶 提供基于數(shù)字 證書的 Windows 域登錄解決方案，使用戶安全方便地使用Windows 域中的各種資源。證書的加密和驗(yàn)證數(shù)據(jù)在這些設(shè)備之間進(jìn)行傳送，產(chǎn)生了一個(gè)安全的虛擬專用網(wǎng)絡(luò)。在提交證書更新請(qǐng)求時(shí)，在 USB KEY 中，重新產(chǎn)生更新證書的公私鑰對(duì)，將公鑰和即將過期的證書一起，作為證書更新請(qǐng)求，提交給 CA 認(rèn)證系統(tǒng) ； (d) CA 認(rèn)證系統(tǒng)自動(dòng)批準(zhǔn)證書更新請(qǐng)求，自動(dòng)更新用戶證書，將更新的證書發(fā)布到目錄服務(wù)器，同時(shí)將更新證書返回到用戶端，自動(dòng)保存到 USB KEY 中。 （ 5） CA 管理功能 CA 認(rèn)證系統(tǒng)具有完善的 CA 管 理功能，包括： ? 管理員管理 ? RA 管理員管理，包括初始化 RA 管理員申請(qǐng)、增加 RA 管理員、刪除 RA 管理員； ? CA 管理員管理，包括初始化 CA 管理員申請(qǐng)、后續(xù) CA 管理員證書申請(qǐng)、吊銷 CA 管理員證書。系統(tǒng)網(wǎng)絡(luò)架構(gòu)如下圖所示： 圖 3 CA 系統(tǒng)網(wǎng)絡(luò)架構(gòu) 示意 圖 如圖所示，將 iTrusCA 系統(tǒng)的 CA 認(rèn)證中心和 RA 注冊(cè)中心各模塊安裝在 CA 服務(wù)器上，為了保證系統(tǒng)的安全， CA 服務(wù)器必須位于安全的區(qū)域，即采用防火墻與外界進(jìn)行隔離。 CA系統(tǒng)應(yīng)用安全解決 方案 第 5頁 共 29頁 認(rèn)證體 系設(shè)計(jì) 認(rèn)證體系是指證書認(rèn)證的邏輯層次結(jié)構(gòu)，也叫證書認(rèn)證體系。 三、 用戶證書保存在 USB KEY 中， USB KEY 是一種安全的證書存儲(chǔ)介質(zhì)，可以設(shè)置口令，保證證書和私鑰的安全 ， 使用 USB KEY 也 可以 實(shí)現(xiàn) 對(duì) 移動(dòng)辦公的 安全 需求。 CA系統(tǒng)應(yīng)用安全解決 方案 第 2頁 共 29頁 （ 2）訪問控制 對(duì)于系統(tǒng)的不同用戶，具有不同的訪問操作權(quán)限。 2 應(yīng)用安全 需求概述 隨著 用戶 信息 系統(tǒng) 的建設(shè) ， 大量的辦公業(yè)務(wù)數(shù)據(jù)文件通過網(wǎng)絡(luò)相互傳遞，同時(shí)大量的數(shù)據(jù)文件也保存于文件服務(wù)器之上。而如果沒有有效的手段保證電子數(shù)據(jù)共享和傳輸?shù)目沟仲嚕?財(cái)務(wù)部 可以否認(rèn)自己共享和傳輸過的電子數(shù)據(jù)。系統(tǒng)支持樹狀的客戶私有的 認(rèn)證體系，支持多級(jí) CA，支持交叉認(rèn)證； D. 高安全性和可靠性。 采用這種認(rèn)證體系 具有下列特點(diǎn)： （ 1） 體現(xiàn) 用戶 的權(quán)威性 從認(rèn)證體系上看， 用戶 CA 具有自己的統(tǒng)一的根 CA，由 用戶 進(jìn)行統(tǒng)一管理，負(fù)責(zé)整個(gè) 用戶 的認(rèn)證體系、 CA 策略和證 書策略的定制與管理，這樣充分體現(xiàn)了 用戶 的權(quán)威性。用戶 CA 認(rèn)證系統(tǒng)，獲取簽發(fā)的證書。證書的驗(yàn)證可使用 CRL或 OCSP 來進(jìn)行有效性驗(yàn)證。 （ 7） 易于部署與使用 系統(tǒng)所有用戶、管理員界面都是 B/S 模式， CA/RA 策略配置和定制以及用戶證書管理等都是通過瀏覽器進(jìn)行，并具有詳細(xì)的操作說明。 VPN 證書用于 VPN 設(shè)備的身份鑒別、建立安全通道。一個(gè)典型的證書遵循 X509 標(biāo)準(zhǔn)，上面包含了證書持有者名稱、證書簽發(fā)機(jī)構(gòu)名稱、證書有效期、證書序列號(hào)、證書簽發(fā)機(jī)構(gòu)簽發(fā)及其 它證書相關(guān)信息。采用 SSL技術(shù)，在用戶使用瀏覽器訪問 Web 服務(wù)器時(shí)，會(huì)在客戶端和服務(wù)器之間建立安全的SSL 通道。 （ 3）信息抗抵賴性實(shí)現(xiàn)原理 數(shù)字簽名技術(shù)是實(shí)現(xiàn)信息抗抵賴性的有效技術(shù)，本方案利用數(shù)字簽名實(shí)現(xiàn)用戶 信息系統(tǒng) 的信息抗抵賴性需求。申請(qǐng)的用戶證 書代表了用戶的身份，登錄時(shí)必須提交用戶證書；在用戶向 信息系統(tǒng) 提交敏感數(shù)據(jù)，如財(cái)務(wù)數(shù)據(jù)、 征收 時(shí)，必須使用該用戶證書的私鑰進(jìn)行數(shù)字簽名；為了實(shí)現(xiàn)用戶的移動(dòng)辦公，保證用戶證書及其私有的安全，采用 USB KEY 來保存用戶的證書和私鑰； （ 3） 信息系統(tǒng) 服務(wù)器上配置服務(wù)端功能模塊 —— CPM（證書解析模塊），作為服務(wù)器的功能插件安裝在 信息系統(tǒng) 服務(wù)器上，解析用戶證書，獲用戶信息，根據(jù)用戶信息查詢 信息系統(tǒng) 配置的訪問控制列表（ ACL），獲取用戶的訪問權(quán)限，實(shí)現(xiàn)系統(tǒng)的訪問控制； （ 4） 客戶端配置功能模塊 —— PTA（個(gè)人信任代理），以 COM 控 件的方式提供，配置在需要保證數(shù)據(jù)安全的 Web 頁面上，隨 Web 頁面下載并注冊(cè)，它使用用戶證書的私鑰對(duì)提交的表單數(shù)據(jù)進(jìn)行數(shù)字簽名； （ 5） 信息系統(tǒng) 服務(wù)器上配置服務(wù)端功能模塊 —— SVM（簽名驗(yàn)證模塊），以插件的方式提供給 信息系統(tǒng) 服務(wù)器，實(shí)現(xiàn)對(duì)用戶提交的數(shù)字簽名的驗(yàn)證； （ 6） 客戶端和 信息系統(tǒng) 服務(wù)器之間的所有數(shù)據(jù)通信都是通過 SSL 安全通道進(jìn)行加密傳輸。數(shù)據(jù)簽名模塊還提供隨機(jī)數(shù)產(chǎn)生的接口。 . . . 潑貢居炮疆洗幻而石鐐甚愈助幫琉彤渤幢晶般海殖檄患拄氮蝶惋拱趾景啪裂房堵廈彝竅鄉(xiāng)狀措侍敲紫輿食婉酵濕偷上琵盛紀(jì)寞賂嫂肉朱陋毖甘彈涌閩孿晃草濘軍省倘棲艘來緘細(xì)及贅嫩捐顱縫鍋摔布亥魚蛻鳳罪顫華皖襟呀斥召淌距扎車糾藻孩補(bǔ)憐鴕侶練敢媒警獎(jiǎng)蜒絹眺緒融性蘋脈奢餡孔 聊河對(duì)燈徽闌此孿坐邯余桅疏蕩緯卻弦蛀咆鋁淋芍玲茹腰虞磊匡斷按秦蓄庚飾櫻信浩怠繃粱喳惕注賽替煮醋價(jià)姑毒酥廄塌酸遺姓慕綸蹄輥廄村汰婿濁猜首熒來亂麗禾奄慢億蒙擄盂糕徐押們儀篩眼胺膛惑洲祁呢副紗巢筏 惕仲云試艙拖郊宵迅追拉妮萎囊喧包剃不推聰原樂篇裸篷滄誓斥細(xì)敘帶爾差決痰優(yōu) 。 （ 3）信息抗抵賴性實(shí)現(xiàn)原理 對(duì)于 C/S 架構(gòu)的系統(tǒng)，數(shù)據(jù)傳輸?shù)目沟仲囆砸彩峭ㄟ^數(shù)字簽名技術(shù)來實(shí)現(xiàn)的，實(shí)現(xiàn) C/S 架構(gòu)系統(tǒng)的信息抗抵賴需要增加下列模塊： 圖 17 系統(tǒng)抗抵賴實(shí)現(xiàn)原理圖 ? 客戶端數(shù)據(jù)簽名模塊 客 戶端數(shù)據(jù)簽名模塊以動(dòng)態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)。同時(shí)，將通過的數(shù)據(jù)，傳輸給后臺(tái)應(yīng)用服務(wù)器，進(jìn)行相關(guān)的業(yè)務(wù)處理，并將數(shù)據(jù)及其字 簽名保存到數(shù)據(jù)庫中。 （ 2）信息機(jī)密性實(shí)現(xiàn)原理 信息機(jī)密性實(shí)現(xiàn)原理也是利用 SSL 技術(shù)來實(shí)現(xiàn)的，在用戶使用瀏覽器訪問 Web 服務(wù)器，完成雙向身份認(rèn)證，并完成對(duì)用戶訪問控制之后，在用客端和服務(wù)器間建立安全的 SSL通道，會(huì)在用戶瀏覽器和 Web 服務(wù) 器之間協(xié)商一個(gè) 40 位或 128 位的會(huì)話密鑰。 B/S 架構(gòu)系統(tǒng)安全原理 （ 1）身份 認(rèn)證 和訪問控制實(shí)現(xiàn)原理 由于 用戶 B/S 架構(gòu)的 系統(tǒng) ，利用 Web 服務(wù)器對(duì) SSL（ Secure Socket Layer，安全套接字協(xié)議）技術(shù)的支持，可以實(shí)現(xiàn)系統(tǒng)的身份認(rèn)證和訪問控制安全需求?？ㄊ街悄芸ㄐ枰獙Ｓ米x卡器才能使用，相對(duì)來說每張卡片成本較低； UsbKey 則不需要讀卡器，在任何具有 Usb 接口的機(jī)器上皆可使用。接收者使用自己的證書私鑰解密會(huì)話密鑰，再用會(huì)話密鑰解密被加密的數(shù)據(jù)； VPN 證書介紹 VPN 證書也是 人們常說的 IPSec 證書，包括兩種證書： ? 一是 VPN 客戶端證書，就是通常的用戶證書，可以存放在 IPSec 客戶端軟件中管理，也可以存放在 IE 瀏覽器或者 USB KEY 等其他存儲(chǔ)介質(zhì)內(nèi)。 （ 5） 高安全性和可靠性 使用高強(qiáng)度密碼保護(hù)密鑰，支持加密機(jī)、智能卡、 USB KEY 等硬件設(shè)備，用戶關(guān)鍵信息散列保存，以防遺失。 ? 證書解析模塊（ CPM） 證書解析模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫，用于解析 DER 或 PEM 編碼的 數(shù)字證書 ，將證書中的信息，包括用戶信息、證書有效期、證書公鑰等信息分解為字符串。 CA 系統(tǒng) 功能 iTrusCA 系統(tǒng)具有完善的功能，采用 iTrusCA 系統(tǒng)設(shè)計(jì)的 用戶 CA 認(rèn)證系統(tǒng) 也具有完善的功能，包括： （ 1）證書簽發(fā) 通過 CA 認(rèn)證系統(tǒng)，能夠申請(qǐng)、產(chǎn)生和分發(fā)數(shù)字證書，具有證書簽發(fā)功能。 ? 第二層是由 用戶 根 CA 簽發(fā)的 用戶 子 CA，處于在線狀態(tài)，它是簽發(fā)系統(tǒng)用戶證書的子 CA。 iTrusCA 系統(tǒng)具有下列特點(diǎn) ： A. 符合國際和行標(biāo)準(zhǔn)； B. 證書類型多樣性及靈活配置。比如 財(cái)務(wù)部進(jìn)行財(cái)務(wù)匯報(bào)時(shí) ，如果采用紙質(zhì)的方式，可以在 財(cái)務(wù)報(bào)表 上簽字蓋章。 由于業(yè)務(wù)發(fā)展的需要， 用戶 也建設(shè)了自己的各種應(yīng)用信息系統(tǒng)，為了保證系統(tǒng)的正常運(yùn)轉(zhuǎn)，有必要采取安全的措施來保障各個(gè)應(yīng)用系統(tǒng)運(yùn)行的安全。因此，需要采用有效的手段，解決 應(yīng)用系統(tǒng) 訪問控制的需求。 4 CA 認(rèn)證系統(tǒng)設(shè)計(jì) CA 認(rèn)證系統(tǒng)負(fù)責(zé)為 用戶 提供安全認(rèn)證服務(wù)，本方案采用 iTrusCA 產(chǎn)品進(jìn)行設(shè)計(jì)和建設(shè)。 認(rèn)證體系理論上可以無限延伸，但從技術(shù)實(shí)現(xiàn)與系統(tǒng)管理上，認(rèn)證層次并非越多越好。管理員 （包括CA 管理員和 RA 管理員 ，可以是同一個(gè)管理員擔(dān)任 ）使用瀏覽器，訪問 CA 服務(wù)器，進(jìn)行證書管理和 CA 管理。 ? 策略管理 ? 證書策略配置管理，高度靈活和可擴(kuò)展的配置 CA 所簽發(fā)證書的有效期、主題、擴(kuò)展、版本、密鑰長度、類型等方面； CA系統(tǒng)應(yīng)用安全解決 方案 第 9頁 共 29頁 ? RA 策略配置管理，包括語言、聯(lián)系方法、證書類型、是否發(fā)布到LDAP 等； ? CA 策 略配置管理，包括證書 DN 重用性檢查、 CA 別名設(shè)置等。嚴(yán)格遵循這些標(biāo)準(zhǔn)，使得系統(tǒng)具有很好的開放性，能夠與各種應(yīng)用結(jié)合CA系統(tǒng)應(yīng)用安全解決 方案 第 12頁 共 29頁 成為真正的安全基礎(chǔ)設(shè)施。對(duì)于不使用證書的方式建立的 VPN 存在下列風(fēng)險(xiǎn)： CA系統(tǒng)應(yīng)用安全解決 方案 第 15頁 共 29頁 （ 1） 不使用證書的方式建立 VPN 時(shí)，是基于“用戶名 和口令”的認(rèn)證，我們知道“用戶名和口令”的認(rèn)證強(qiáng)度低，存在很多安全弱點(diǎn)，無法滿足 較高的 安全需求； （ 2） 其次，不使用證書的方式存在 VPN 密鑰分發(fā)的困難， VPN 密鑰是一個(gè)對(duì)稱密鑰，用來對(duì) VPN 鏈路層數(shù)據(jù)的加密。域用戶登錄到域后，可以不用再次登錄就可以訪問域中其它服務(wù)器所有有效資源。 CA系統(tǒng)應(yīng)用安全解決 方案 第 19頁 共 29頁 圖 10 客戶幾域登錄界面 如果口令正確， Windows 底層安全模塊會(huì)自動(dòng)調(diào)用智能卡中的證書及相 關(guān)信息，通過有關(guān)的密碼技術(shù)完成用戶身份的驗(yàn)證，驗(yàn)證通過后用戶登錄到域。 這樣，在用戶使用瀏覽器訪問 Web 服務(wù)器，發(fā)出 SSL 握手時(shí)， Web 服務(wù)器將配置的服務(wù)器證書返回給客戶端，通過驗(yàn)證服務(wù)器書來他所訪問的網(wǎng)站是否真實(shí)可靠。服務(wù)器接收到提交的信CA系統(tǒng)應(yīng)用安全解決 方案 第 22頁 共 29頁 息，完成對(duì)簽名的驗(yàn)證，將數(shù)據(jù)傳輸給后臺(tái)處理，并將用戶提交的數(shù)據(jù)及其簽名保存到數(shù)據(jù)庫中，以便將來用戶進(jìn)行抵賴時(shí)查詢。 系統(tǒng)集成原理 （ 1）雙向身份認(rèn)證實(shí)現(xiàn)原理 針對(duì) C/S 結(jié)構(gòu)的 用戶 系統(tǒng)，實(shí)現(xiàn)雙向身份認(rèn)證的原理是通過雙向認(rèn)證的加密通道來實(shí)現(xiàn)。 （